Objectiu:
Disposar d’un entorn d’autenticació per a openstack. Openstack aspira a convertir-se en l’estàndard de facto a l’hora d’implementar núvols privats o empresarials. El seu objectiu principal és que el sistema tingui una alta escalabilitat i sigui, també, altament distribuïble.
El primer dels mòduls necessaris per muntar un entorn bàsic (que és el que s’aspira amb aquests petits tutorials) és el de l’autenticació que usaran la resta de components del núvol.
Objectiu:
Aquesta petita entrada mostrarà com afegir la possibiltat de connectar-se al directori LDAP mitjançant SSL (amb l’extensió StartTLS)
Procediment:
Es parteix de la base que disposem d’un servidor amb OpenLDAP executant-se. Aquesta entrada mostrarà com realitzar la configuració sobre OpenLDAP 2.4. A més també es suposa que es disposa d’un entorn de certificació per generar certificats.
Objectiu:
Un problema que els administrador poden trobar quan utilitzen Firefox és intentar fer que aquest utilitzi un certificat de l’empresa per defecte per a tots els usuaris. És cert que cada usuari se’l pot instal·lar manualment, però per a molts usuaris això serà una font de problemes. És més senzill que el sistema ho faci automàticament.
Instal·lació de programari:
Com sempre treballem amb Debian o Ubuntu. L’eina que utilitzarem s’anomena certutil i és una aplicació de mozilla per a gestionar bases de dades de certificats. Podeu trobar més informació aquí:
http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html
Per instal·lar aquesta eina utilitzarem la següent comanda:
$ apt-get install libnss3-tools
Objectius:
El que ens interessa en aquest cas és disposar d’una connexió VPN des d’un router ADSL Netgear DG834G amb un servidor VPN OpenSwan que es troba dins d’una xarxa amb NAT. Un dels problemes que trobarem és que l’adreça del router ADSL canvia a cada connexió cosa que ens condicionarà la configuració de l’OpenSwan.
Instal·lació:
La instal·lació la fem sobre un Debian 5.0 (Lenny) pelat. Podeu trobar un petit i ràpid tutorial de com instal·lar el sistema operatiu en aquest enllaç: Debian Lenny (5.0).
La comanda per instal·lar el servidor VPN és:
$ apt-get install openswan
En el servidor Debian hauriem de deshabilitar el següent:
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
La comanda ipsec verify ens mostrarà si tot és correcte.
A vegades és necessari obtenir la clau privada d’un arxiu pkcs12. Una possible manera de fer-ho és la següent:
Extreure la informació (CA, certificats i claus) a un arxiu PEM:
$ openssl pkcs12 -in client.p12 -out client.pem
Extreure només el certificat de client:
$ openssl pkcs12 -in client.p12 -out client.crt -clcerts -nokeys
Extreure la clau privada:
$ openssl pkcs12 -in client.p12 -out client.key -nocerts
Si, a més, volem eliminar la contrasenya de la clau privada podem fer:
$ openssl rsa -in client.key -out client.key